Fiche métier : Ingénieur sécurité web
L’ingénieur sécurité web contribue à la mise en œuvre de la politique de sécurité du système d’information notamment pour tout ce qui concerne les flux avec l’extérieur de l’entreprise (site, messagerie, paiement, identification,…) Il est chargé d’évaluer la vulnérabilité du système d’information de l’entreprise, de proposer au RSSI des solutions pour développer la politique de sécurité et d’installer des procédures de protection des réseaux informatiques contre toute intrusion extérieure (virus, hackers…). Ce poste peut avoir plusieurs intitulés :
- Expert sécurité des SI
- Consultant sécurité des applications web
- Ingénieur/responsable sécurité informatique
- Auditeur sécurité informatique
Analyse des risques, études et audit de la sécurité web
- Auditer le système de sécurité web, wifi, VoIP, éventuellement avec l’aide de prestataires (tests de pénétration et d’intrusion).
- Analyser les risques, les dysfonctionnements, les failles dans la protection, les marges d’amélioration des systèmes de sécurité.
- Définir ou faire évoluer les mesures et les normes de sécurité web et messagerie, en cohérence avec la nature de l’activité de l’entreprise et son exposition aux risques informatiques (politique de mots de passe, choix d’antivirus, certificats…).
- Réaliser les études techniques permettant au RSSI de faire les choix des dispositifs techniques les plus appropriés aux besoins de l’entreprise (firewall, cryptographie, authentification…).
Mise en œuvre et suivi du dispositif de sécurité Internet
- Mettre en place les méthodes et outils de sécurité web adaptés et accompagner leur implémentation auprès des utilisateurs.
- Élaborer et suivre les tableaux de bord des incidents de sécurité Internet (attaques virales notamment).
- Réparer les dommages causés au SI en cas d’intrusion dans le système ou de contamination par un virus, en analyser les causes et consolider les mesures de sécurité.
- Tester ou faire tester régulièrement le bon fonctionnement des mesures de sécurité mises en place pour en détecter les faiblesses et les carences (tests d’intrusion notamment).
Communication et formation sur les normes de sécurité
- Participer à la réalisation du référentiel de sécurité, sur la partie sécurité des réseaux (politique de mots de passe, d’authentification, d’utilisation de certificats, de niveau de sécurité antivirale sur les postes, de définition (censoriale) de sites de confiance…) l’actualiser régulièrement, en assurer la diffusion auprès des utilisateurs et veiller à son application.
- Réaliser des supports de formation et en assurer la diffusion principalement auprès des collègues du service informatique.
- Mettre en place des actions de communication auprès des salariés de l’entreprise en cas de risque majeur (information sur des types de mails infectés par exemple) ou de dommages au SI causés par une attaque.
Veille technologique et réglementaire
- Assurer une veille technologique, notamment sur les protocoles, les nouveaux systèmes d’intrusion et les dernières techniques d’attaque sur le web ainsi que les évolutions des protections pour garantir la sécurité du système.
- Identifier les nouveaux risques sur la sécurité du système d’information : apparition de nouveaux virus, lancement d’attaques informatiques sur le réseau mondial…
- Suivre les évolutions juridiques du marché en termes de sécurité Internet afin de garantir que les mesures de sécurité web soient bien conformes au droit individuel et collectif.
Cette fonction peut être cumulée avec celle d’ingénieur système réseaux télécoms ou d’administrateur système réseau dans les PME ou dans les sociétés qui estiment leurs risques d’intrusion sans conséquences économiques importantes. Dans les entreprises de taille moyenne, l’expert sécurité informatique fait office de RSSI et définit l’ensemble de la politique de sécurité informatique (back-up, sécurité physique des équipements …) avec le Directeur Informatique (DSI).
Certains spécialistes sont des « hackers blancs » qui ont une expertise très pointue dans des domaines tels que l’intrusion, l’identification…
Certains peuvent également animer eux-mêmes des formations à la sécurité web, voire intervenir dans des colloques réunissant des professionnels du domaine.
L’activité de l’ingénieur sécurité web peut varier selon…
Les conditions d’exercice :
- Lorsqu’il exerce en SSII ou en cabinet conseil spécialisé, l’ingénieur sécurité web n’intervient souvent que sur une partie des missions et sur un domaine dans lequel il lui est demandé une expertise très poussée : il recherche les failles du système. Son rôle est souvent centré sur une activité de conseil (réalisation d’audits de sécurité et préconisation de solutions techniques adaptées), plus que sur la mise en place de dispositifs.
Il est également en charge de la réponse aux appels d’offre et de l’avant-vente des prestations.
- En entreprise, le spécialiste sécurité est en charge de la mise en pratique opérationnelle de la sécurité sur le Web : il est amené à gérer les droits des utilisateurs et à participer à la définition des règles avec les opérationnels des métiers. Il est souvent amené à sensibiliser les différents interlocuteurs aux problématiques de sécurité (mots de passe, …).
Le secteur et la culture du risque de l’entreprise :
Dans les secteurs d’activité sensibles tels que la banque/finance ou encore la défense, ou les télécoms, la culture du risque en interne est très forte. De fait, ce poste de consultant sécurité informatique revêt un enjeu stratégique et dispose en conséquence de moyens plus importants qu’ailleurs. Il travaille généralement avec une équipe de prestataires, experts techniques, voire fonctionnels, et doit avoir des notions d’urbanisme et d’architecture S.I. plus poussées que dans d’autres secteurs.
La taille de l’entreprise :
- En PME, cette fonction est souvent confiée aux administrateurs ou ingénieurs systèmes réseaux télécoms.
- Dans les structures de grande taille, de 1 000 à 5 000 salariés, le spécialiste sécurité informatique a souvent un positionnement orienté vers l’expertise technique. Il garantit avant tout la pérennité et l’évolution de l’infrastructure pour faire face aux attaques et aux risques extérieurs. Il n’encadre généralement pas d’équipe.
- Dans de grandes entreprises, même s’il intervient via une SSII ou un cabinet d’expert, il peut coordonner des équipes importantes (jusqu’à 50 personnes) en fonction des problèmes rencontrés.
- Dans les groupes internationaux ou possédant plusieurs implantations, l’expert sécurité informatique fait partie d’une équipe dont le responsable occupe un rôle de centralisation et d’animation du dispositif global de sécurité. Il doit travailler en synergie avec ses homologues en termes de moyens, et de règles de sécurité et est amené à travailler en anglais pour converser avec ses collègues d’autres pays.
Diplômes requis
- Écoles d’ingénieurs (informatique, télécoms, généralistes…)
- Masters spécialisés en sécurité informatique et/ou télécoms, sécurité des systèmes informatiques et des réseaux, sécurité, cryptologie et codage de l’information…
Durée d’expérience
Selon le niveau d’expertise requis, le poste d’ingénieur sécurité web est ouvert à des personnes confirmées ou à de jeunes cadres ou de jeunes diplômés possédant des profils techniques pointus dans le domaine réseau télécoms (principalement en société de conseil).
Il faut également noter que ce poste a pu parfois être ouvert (chez certains éditeurs) à d’anciens hackersrepentis quel que soit leur diplôme.
Compétences techniques
- Bonne connaissance de la stratégie de l’entreprise, de son organisation, de ses métiers et des enjeux
- Bonne connaissance du système d’information global, de l’urbanisation et de l’architecture du SI et des interfaces en applications
- Maîtrise des normes et procédures de sécurité et des outils et technologies qui s’y rapportent : firewall, antivirus, cryptographie, serveurs d’authentification, tests d’intrusion, PKI, filtrages d’URL…
- Bonne connaissance des systèmes d’exploitation (MVS, UNIX, Linux, Windows…) et des langages de programmation associés
- Bonne connaissance des outils d’évaluation et de maîtrise des risques (méthode Marion), des réseaux et systèmes
- Connaissance des méthodologies (ex : OSSTMM, OWASP…)
- Connaissance des principaux prestataires du marché de la sécurité informatique (éditeurs, sociétés de service…)
- Bonnes connaissances juridiques en matière de sécurité et de droit informatique
- Maîtrise de l’anglais, car 90 % des documents relatifs à la sécurité sont rédigés en anglais
Aptitudes professionnelles
- Curiosité et goût pour la technique, car l’expert sécurité doit être au courant en permanence des nouveaux risques et des nouvelles parades (virus et antidotes)
- Diplomatie, écoute sens du dialogue, persuasion, pour convaincre les utilisateurs des risques encourus et du bien-fondé des procédures mises en place
- Intégrité et éthique, car il a accès à toutes les données sensibles de l’entreprise et il doit maintenir un bon niveau de confidentialité
- Capacité à gérer le stress dans des situations de crise (intrusion, virus, problème de sécurité « matérielle » (incendies, fuites d’eau…) et à prioriser les actions à mener
- Rigueur, capacité d’anticipation et méthode afin de pouvoir prévoir les actions à mener en cas de crise
- Capacités d’analyse afin de planifier minutieusement les risques et leurs parades
- Force de proposition pour faire évoluer la stratégie, ainsi que les pratiques
- Capacités pédagogiques pour vulgariser les risques et les enjeux de la sécurité à tous les niveaux dans l’entreprise
- Capacité à travailler avec tous les niveaux d’interlocuteurs de l’entreprise en adaptant son langage et son niveau d’explication à la population avec laquelle l’ingénieur sécurité web est amené à travailler
- Jeune diplômé entre 28 et 35 k€
- Jeune cadre : entre 35 et 45 k€
- Cadre confirmé : entre 45 et 70 k€ (éventuellement plus dans le cadre d’expertises très particulières)
Source : https://www.apec.fr